GDPR: il registro delle attività del trattamento. Il contenuto nel dettaglio.

GDPR: il registro delle attività del trattamento

di Redazione

Versione PDF del documento

Vediamo nel dettaglio il contenuto del registro delle attività del trattamento.

Il presente contributo è tratto da “Privacy e GDPR: manuale applicativo con esempi e casistiche settoriali” di Monica Mandico.

Il registro delle attività del trattamento

(Art. 30-considerando 82). Il Regolamento europeo 2016/679 prevede, all’articolo 30, una delle necessarie attività di compliance aziendale, in materia di dati personali, da definirsi quale parte necessaria di un sistema di corretta gestione dei dati[1]: il Registro delle attività del trattamento dei dati personali. Rientra tra gli obblighi del titolare e del responsabile del trattamento definiti nella Sezione I del Capo IV e si tratta un adempimento nuovo anche se ha delle affinità con l’elenco dei trattamenti contenuto nel Documento Programmatico sulla Sicurezza previsto dal Codice privacy fino al 2012 in caso di trattamento di dati sensibili e giudiziari. La funzione del registro è duplice, difatti esso: a) rappresenta una misura di responsabilizzazione per il titolare ed il responsabile del trattamento; b) permette la verifica successiva da parte dell’Autorità di controllo del rispetto della normativa da parte dei soggetti obbligati (art. 30)[2].

Definizione del registro delle attività del trattamento

Il registro è un documento che raccoglie le principali informazioni sulle attività di trattamento compiute dal titolare e, se nominato, dal responsabile del trattamento; è altresì uno strumento fondamentale per: tracciare l’esistente; verificare la conformità al regolamento; divulgare informazioni, consapevolezza e condivisione interna; ancorchè misure per la pianificazione e controllo della politica della sicurezza di dati e banche di dati. I registri (al plurale perché sono tenuti sia dal titolare, sia dal responsabile) rappresentano uno dei basilari elementi di accountability del titolare, ossia uno degli adempimenti più importanti concernenti le attività di trattamento, in quanto sono in grado di fornire un quadro aggiornato delle operazioni e dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e preventivo rispetto a tale attività.

Ti potrebbe interessare anche “La tutela dei dati “sensibili” prevale sull’esigenza di trasparenza amministrativa”.

Forma del registro delle attività del trattamento

I predetti “inventari” hanno la forma scritta, sono strutturati, preferibilmente, in formato elettronico, dal titolare/responsabile del trattamento dei dati; tali registri non vanno notificati ma dovranno essere messi a disposizione, e/o esibiti, all’Autorità Garante, qualora li richieda, così come è previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’Autorità di controllo”.

Cosa è il registro delle attività di trattamento?[3]. L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del Registro delle attività di trattamento. È un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (sul registro del responsabile, vedi, in particolare, il punto 6). Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta”.

In ogni caso risulta opportuno indicare, oltre alla tipologia di forma del trattamento, per es. se scritta, anche il luogo ed i mezzi di conservazione atti a prevenire accessi non autorizzati o la perdita accidentale. Per il formato elettronico, sarà utile indicare gli strumenti elettronici (ai sensi dell’articolo 4, comma 3, lettera b) del d.lgs. 196/2003) adottati da ciascun trattamento, in quanto sono queste informazioni essenziali per individuare, successivamente, i rischi di sicurezza a cui possono essere esposti i dati personali, nonché le responsabilità riguardo la loro gestione e manutenzione. Va detto che nei casi in cui l’utilizzo e la conservazione dei documenti siano in carico presso la struttura organizzativa responsabile del trattamento (ad esempio, il reparto ospedaliero che redige la cartella clinica del paziente), gli strumenti informatici sono in genere centralizzati e di competenza di strutture dedicate, come la Gestione dei Sistemi Informativi, o esterne all’organizzazione e riguardanti fornitori di servizi tecnologici. L’utilità di specificare nel registro, gli strumenti elettronici utilizzati si ritrova anche nella gestione del ciclo di vita del trattamento, perché possono mutare i fornitori di servizi o le tecnologie utilizzate (ad esempio, nuove applicazioni, servizi cloud, ecc.), che possono produrre impatti sulla sicurezza dei dati trattati. Segnatamente, nelle attività periodiche di aggiornamento del registro e delle misure adottate (articolo 24, comma 1) diventerà più agevole individuare quei cambiamenti che richiedono di rivedere gli adeguamenti effettuati in precedenza per rispondere agli obblighi previsti dal Regolamento, tra cui la valutazione di impatto per i diritti e le libertà degli interessati in ragione dell’adozione di nuove tecnologie (Linee guida Working Part 29, wp248).

Contenuto del registro delle attività del trattamento

Il registro del titolare del trattamento contiene le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • la descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative.

Quali informazioni deve contenere i registri delle attività del trattamento?[4]

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel Registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD). Con riferimento ai contenuti si rappresenta quanto segue: (a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2 del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD; (b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.); (c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e subresponsabili del trattamento – siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali; (d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.); (e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”); (f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d.lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.)

Per una disamina completa del contenuto del registro delle attività del trattamento e di ogni altro profilo ad esso relativo continua a leggere pp. 135 ss. di “Privacy e GDPR: manuale applicativo con esempi e casistiche settoriali” di Monica Mandico.

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



 

[1] Sull’utilità della tenuta del registro per qualsiasi organizzazione, anche se con meno di 250 dipendenti, si veda M. GaGliarDi, Il nuovo obbligo di tenuta del Registro delle attività di trattamento di dati personali, in G. coManDè e G. MalGieri, Manuale per il trattamento dei dati personali, Milano, 2018, p. 66.

[2] Così, Gea arcella, GDPR: il Registro delle attività di trattamento e le misure di accountability, in Rivista Notariato, 4/2018.

[3] Garante per la protezione dei dati personali, FAQ sul Registro delle attività di trattamento del 8 ottobre 2018 – https://www. garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento.

[4] Le spiegazioni del Garante. FAQ sul Registro delle attività di trattamento.

 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it